Bereitstellen eines SAP-Datenconnector-Agents über die Befehlszeile

In diesem Artikel finden Sie die Befehlszeilenoptionen für die Bereitstellung eines SAP-Datenconnector-Agents. Für typische Bereitstellungen wird empfohlen, das Portal anstelle der Befehlszeile zu verwenden, da Datenconnector-Agents, die über die Befehlszeile installiert wurden, nur über die Befehlszeile verwaltet werden können.

Wenn Sie jedoch eine Konfigurationsdatei anstelle von Azure Key Vault verwenden, um Ihre Anmeldeinformationen zu speichern, oder wenn Sie ein erfahrener Benutzer sind, der den Datenconnector manuell bereitstellen möchte (z. B. in einem Kubernetes-Cluster), wenden Sie stattdessen die Verfahren in diesem Artikel an.

Sie können zwar mehrere Datenconnector-Agents auf einem einzelnen Computer ausführen, es wird jedoch empfohlen, nur mit einem zu beginnen, seine Leistung zu überwachen und dann die Anzahl der Connectors langsam zu erhöhen. Außerdem wird empfohlen, dass Ihr Sicherheitsteam dieses Verfahren in Zusammenarbeit mit dem SAP BASIS-Team durchführt.

Hinweis

Dieser Artikel ist nur für den Datenconnector-Agent relevant, nicht für die SAP-Lösung ohne Agent (eingeschränkte Vorschau).

Voraussetzungen

• Stellen Sie vor der Bereitstellung des Datenconnectors sicher, dass Sie eine VM erstellen und den Zugriff auf Ihre Anmeldeinformationen konfigurieren.

• Wenn Sie für sichere Verbindungen SNC verwenden, stellen Sie sicher, dass Ihr SAP-System ordnungsgemäß konfiguriert ist, und bereiten Sie dann das Kickstartskript für die sichere Kommunikation mit SNC vor, bevor Sie den Datenconnector-Agent bereitstellen.

  Weitere Informationen finden Sie in der SAP-Dokumentation.

Bereitstellen des Datenconnector-Agents mithilfe einer verwalteten Identität oder registrierten Anwendung

In diesem Verfahren wird beschrieben, wie Sie über die Befehlszeile einen neuen Agent erstellen und mit Ihrem SAP-System verbinden und mit einer verwalteten Identität oder einer registrierten Microsoft Entra ID-Anwendung authentifizieren.

• Wenn Sie SNC verwenden, müssen Sie vorab das Kickstartskript für die sichere Kommunikation mit SNC vorbereiten.

• Wenn Sie eine Konfigurationsdatei zum Speichern Ihrer Anmeldeinformationen verwenden, lesen Sie stattdessen unter Bereitstellen des Datenconnectors mithilfe einer Konfigurationsdatei nach.

So stellen Sie Ihren Datenconnector-Agent bereit

1. Laden Sie das Kickstartskript für die Bereitstellung herunter, und führen Sie es aus:

   • Verwenden Sie für eine verwaltete Identität eine der folgenden Befehlsoptionen:

     • Für die öffentliche kommerzielle Azure-Cloud:

       wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
       

     • Für Microsoft Azure, betrieben von 21Vianet, fügen Sie --cloud mooncake an das Ende des kopierten Befehls hinzu.

     • Für Azure Government – USA fügen Sie --cloud fairfax an das Ende des kopierten Befehls hinzu.

   • Führen Sie für eine registrierte Anwendung den folgenden Befehl aus, um das Kickstartskript für die Bereitstellung aus dem GitHub-Repository für Microsoft Sentinel herunterzuladen, und markieren Sie es als ausführbar:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh
     

     Führen Sie das Skript aus, wobei Sie die Anwendungs-ID, das Geheimnis (das „Kennwort“), die Mandanten-ID und den Namen des Schlüsseltresors angeben, die Sie in den vorherigen Schritten kopiert haben. Zum Beispiel:

     ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
     

   • Geben Sie zum Konfigurieren der sicheren SNC-Konfiguration die folgenden Basisparameter an:

     • --use-snc
     • --cryptolib <path to sapcryptolib.so>
     • --sapgenpse <path to sapgenpse>
     • --server-cert <path to server certificate public key>

     Wenn das Clientzertifikat im Format .crt oder .key vorliegt, verwenden Sie die folgenden Switches:

     • --client-cert <path to client certificate public key>
     • --client-key <path to client certificate private key>

     Wenn das Clientzertifikat im Format .pfx oder .p12 vorliegt, verwenden Sie die folgenden Schalter:

     • --client-pfx <pfx filename>
     • --client-pfx-passwd <password>

     Wenn das Clientzertifikat von einer Unternehmenszertifizierungsstelle ausgestellt wurde, fügen Sie folgenden Schalter für jede Zertifizierungsstelle in der Vertrauenskette hinzu:

     • --cacert <path to ca certificate>

     Zum Beispiel:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
     

   Das Skript aktualisiert die Betriebssystemkomponenten, installiert die Azure CLI- und Docker-Software und weitere erforderliche Dienstprogramme (jq, netcat, curl) und fordert Sie dann auf, die Werte für Konfigurationsparameter einzugeben. Sie können zusätzliche Parameter für das Skript angeben, um die Anzahl der Eingabeaufforderungen zu minimieren oder die Containerbereitstellung anzupassen. Weitere Informationen zu verfügbaren Befehlszeilenoptionen finden Sie unter Kickstart-Skriptreferenz.

2. Befolgen Sie die Anweisungen auf dem Bildschirm, um Ihre SAP- und Key Vault-Details einzugeben und die Bereitstellung abzuschließen. Nach Abschluss der Bereitstellung wird eine Bestätigungsmeldung angezeigt:

   The process has been successfully completed, thank you!
   

   Notieren Sie sich den Namen des Docker-Containers in der Skriptausgabe. Um die Liste der Docker-Container auf Ihrer VM anzuzeigen, führen Sie Folgendes aus:

   docker ps -a
   

   Sie werden den Namen des Docker-Containers im nächsten Schritt verwenden.

3. Für die Bereitstellung des SAP-Datenconnector-Agents müssen Sie der VM-Identität Ihres Agents bestimmte Berechtigungen für den Log Analytics-Arbeitsbereich zuweisen, der für Microsoft Sentinel aktiviert wurde, indem Sie die Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser verwenden.

   Um den Befehl in diesem Schritt auszuführen, benötigen Sie die Rolle „Ressourcengruppenbesitzer“ im Log Analytics-Arbeitsbereich, der für Microsoft Sentinel aktiviert ist. Wenn Sie kein Ressourcengruppenbesitzer in Ihrem Arbeitsbereich sind, kann diese Prozedur auch später ausgeführt werden.

   Weisen Sie die Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser der Identität der VM zu:

   1. Rufen Sie die Agent-ID ab, indem Sie den folgenden Befehl ausführen und dabei den <container_name>-Platzhalter durch den Namen des Docker-Containers ersetzen, den Sie mit dem Kickstartskript erstellt haben:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      Eine zurückgegebene Agent-ID kann z. B. 234fba02-3b34-4c55-8c0e-e6423ceb405b sein.

   2. Weisen Sie die Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser zu, indem Sie die folgenden Befehle ausführen:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Ersetzen Sie Platzhalterwerte wie folgt:

   Platzhalter	Wert
   <OBJ_ID>	Die Objekt-ID Ihrer VM-Identität. So suchen Sie die Objekt-ID Ihrer VM-Identität in Azure - Bei einer verwalteten Identität finden Sie die Objekt-ID auf der Seite Identität der VM. - Bei einem Dienstprinzipal navigieren Sie in Azure zu Unternehmensanwendung. Wählen Sie Alle Anwendungen und dann Ihre VM aus. Die Objekt-ID wird auf der Seite Übersicht angezeigt.
   <SUB_ID>	Die Abonnement-ID für den Log Analytics-Arbeitsbereich, der für Microsoft Sentinel aktiviert ist
   <RESOURCE_GROUP_NAME>	Der Ressourcengruppenname für Ihren Log Analytics-Arbeitsbereich, der für Microsoft Sentinel aktiviert ist
   <WS_NAME>	Der Name Ihres Log Analytics-Arbeitsbereichs, der für Microsoft Sentinel aktiviert ist
   <AGENT_IDENTIFIER>	Die Agent-ID, die nach dem Ausführen des Befehls im vorherigen Schritt angezeigt wird.

4. Um den Docker-Container so zu konfigurieren, dass er automatisch gestartet wird, führen Sie den folgenden Befehl aus, und ersetzen Sie dabei den <container-name>-Platzhalter durch den Namen Ihres Containers:

   docker update --restart unless-stopped <container-name>
   

Während der Bereitstellung wird eine Datei systemconfig.json erstellt, die die Konfigurationsdetails für den SAP-Datenconnector-Agent enthält. Die Datei befindet sich im Verzeichnis /sapcon-app/sapcon/config/system auf Ihrer VM.

Bereitstellen des Datenconnectors mithilfe einer Konfigurationsdatei

Azure Key Vault stellt die empfohlene Methode zum Speichern Ihrer Authentifizierungsanmeldeinformationen und Ihrer Konfigurationsdaten dar. Wenn Sie Azure Key Vault nicht verwenden können, wird in dieser Vorgehensweise beschrieben, wie Sie den Container für den Datenconnector-Agent stattdessen mithilfe einer Konfigurationsdatei bereitstellen können.

• Wenn Sie SNC verwenden, müssen Sie vorab das Kickstartskript für die sichere Kommunikation mit SNC vorbereiten.

• Wenn Sie eine verwaltete Identität oder eine registrierte Anwendung verwenden, lesen Sie stattdessen unter Bereitstellen des Datenconnector-Agents mithilfe einer verwalteten Identität oder registrierten Anwendung nach.

So stellen Sie Ihren Datenconnector-Agent bereit

1. Erstellen Sie eine VM, auf welcher der Agent bereitgestellt werden soll.

2. Übertragen Sie das SAP NetWeaver SDK auf den Computer, auf dem Sie den Agent installieren möchten.

3. Führen Sie den folgenden Befehl aus, um aus dem Microsoft Sentinel GitHub-Repository das Kickstartskript für die Bereitstellung herunterzuladen und markieren Sie es als ausführbar:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

4. Führen Sie das Skript aus:

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   Das Skript aktualisiert die Betriebssystemkomponenten, installiert die Azure CLI- und Docker-Software und weitere erforderliche Dienstprogramme (jq, netcat, curl) und fordert Sie dann auf, die Werte für Konfigurationsparameter einzugeben. Sie können bei Bedarf zusätzliche Parameter für das Skript angeben, um die Anzahl der Eingabeaufforderungen zu minimieren oder die Containerbereitstellung anzupassen. Weitere Informationen finden Sie in der Referenz zum Kickstartskript.

5. Befolgen Sie die Anweisungen auf dem Bildschirm, um die angeforderten Details einzugeben und die Bereitstellung abzuschließen. Nach Abschluss der Bereitstellung wird eine Bestätigungsmeldung angezeigt:

   The process has been successfully completed, thank you!
   

   Notieren Sie sich den Namen des Docker-Containers in der Skriptausgabe. Um die Liste der Docker-Container auf Ihrer VM anzuzeigen, führen Sie Folgendes aus:

   docker ps -a
   

   Sie werden den Namen des Docker-Containers im nächsten Schritt verwenden.

6. Für die Bereitstellung des SAP-Datenconnector-Agents müssen Sie der VM-Identität Ihres Agents bestimmte Berechtigungen für den Log Analytics-Arbeitsbereich zuweisen, der für Microsoft Sentinel aktiviert wurde, indem Sie die Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser verwenden.

   Um die Befehle in diesem Schritt auszuführen, benötigen Sie die Rolle „Ressourcengruppenbesitzer“ in Ihrem Arbeitsbereich. Wenn Sie kein Ressourcengruppenbesitzer in Ihrem Arbeitsbereich sind, kann dieser Schritt auch später ausgeführt werden.

   Weisen Sie die Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser der Identität der VM zu:

   1. Rufen Sie die Agent-ID ab, indem Sie den folgenden Befehl ausführen und dabei den <container_name>-Platzhalter durch den Namen des Docker-Containers ersetzen, den Sie mit dem Kickstartskript erstellt haben:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
      

      Eine zurückgegebene Agent-ID kann z. B. 234fba02-3b34-4c55-8c0e-e6423ceb405b sein.

   2. Weisen Sie die Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser zu, indem Sie die folgenden Befehle ausführen:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      
      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      

      Ersetzen Sie Platzhalterwerte wie folgt:

      Platzhalter	Wert
      <OBJ_ID>	Die Objekt-ID Ihrer VM-Identität. So suchen Sie die Objekt-ID Ihrer VM-Identität in Azure: Bei einer verwalteten Identität finden Sie die Objekt-ID auf der Seite Identität der VM. Bei einem Dienstprinzipal navigieren Sie in Azure zu Unternehmensanwendung. Wählen Sie Alle Anwendungen und dann Ihre VM aus. Die Objekt-ID wird auf der Seite Übersicht angezeigt.
      <SUB_ID>	Die Abonnement-ID für den Log Analytics-Arbeitsbereich, der für Microsoft Sentinel aktiviert ist
      <RESOURCE_GROUP_NAME>	Der Ressourcengruppenname für Ihren Log Analytics-Arbeitsbereich, der für Microsoft Sentinel aktiviert ist
      <WS_NAME>	Der Name Ihres Log Analytics-Arbeitsbereichs, der für Microsoft Sentinel aktiviert ist
      <AGENT_IDENTIFIER>	Die Agent-ID, die nach dem Ausführen des Befehls im vorherigen Schritt angezeigt wird.

7. Führen Sie den folgenden Befehl aus, um den Docker-Container so zu konfigurieren, dass er automatisch gestartet wird.

   docker update --restart unless-stopped <container-name>
   

Während der Bereitstellung wird eine Datei systemconfig.json erstellt, die die Konfigurationsdetails für den SAP-Datenconnector-Agent enthält. Die Datei befindet sich im Verzeichnis /sapcon-app/sapcon/config/system auf Ihrer VM.

Vorbereiten des Kickstartskripts für die sichere Kommunikation mit SNC

In diesem Verfahren wird beschrieben, wie Sie das Bereitstellungsskript vorbereiten, um Einstellungen für die sichere Kommunikation mit Ihrem SAP-System mithilfe von SNC zu konfigurieren. Wenn Sie SNC verwenden, müssen Sie diese Schritte ausführen, bevor Sie den Datenconnector-Agent bereitstellen.

So konfigurieren Sie den Container für die sichere Kommunikation mit SNC

1. Übertragen Sie die Dateien libsapcrypto.so und sapgenpse auf das System, in dem Sie den Container erstellen.

2. Übertragen Sie das Clientzertifikat (privater und öffentlicher Schlüssel) auf das System, in dem Sie den Container erstellen.

   Das Clientzertifikat und der Schlüssel können in den Formaten .p12, .pfx oder Base-64 .crt und .key vorliegen.

3. Übertragen Sie das Serverzertifikat (nur öffentlicher Schlüssel) auf das System, in dem Sie den Container erstellen.

   Das Serverzertifikat muss im Base-64 .crt-Format vorliegen.

4. Wenn das Clientzertifikat von einer Unternehmenszertifizierungsstelle ausgestellt wurde, übertragen Sie die Zertifikate der ausstellenden Zertifizierungsstelle und der Stammzertifizierungsstelle auf das System, in dem Sie den Container erstellen.

5. Rufen Sie das Kickstartskript aus dem Microsoft Sentinel GitHub-Repository ab:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   

6. Ändern Sie die Berechtigungen des Skripts, um es ausführbar zu machen:

   chmod +x ./sapcon-sentinel-kickstart.sh
   

Weitere Informationen finden Sie in der Referenz zum Kickstartskript für die Bereitstellung von Microsoft Sentinel für den Datenconnector-Agent für SAP-Anwendungen.

Optimieren der SAP PAHI-Tabellenüberwachung (empfohlen)

Um optimale Ergebnisse bei der Überwachung der SAP PAHI-Tabelle zu erzielen, öffnen Sie die Datei systemconfig.json zum Bearbeiten und aktivieren Sie im [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector)-Abschnitt sowohl den Parameter PAHI_FULL als auch den Parameter PAHI_INCREMENTAL.

Weitere Informationen finden Sie unter Systemconfig.json-Dateiverweis und Überprüfen, ob die PAHI-Tabelle in regelmäßigen Abständen aktualisiert wird.

Überprüfen von Konnektivität und Integrität

Überprüfen Sie nach der Bereitstellung des SAP-Datenconnector-Agents die Integrität und Konnektivität Ihres Agents. Weitere Informationen finden Sie unter Überwachen der Integrität und Rolle Ihrer SAP-Systeme.

Nächster Schritt

Nachdem der Connector bereitgestellt wurde, fahren Sie mit der Bereitstellung der Inhalte für die Microsoft Sentinel-Lösung für SAP-Anwendungen fort:

Aktivieren von SAP-Erkennungen und -Bedrohungsschutz